Wat is IAM en werkt IAM in AWS?

IAM (Identity and Access Management) valt onder de dienst “Security, Identity, & Compliance” in AWS (Amazon Web Services). Het laat ons de toegang tot AWS diensten en bronnen veilig beheren. Met IAM kunnen we AWS gebruikers, groepen en rollen aanmaken en beheren, en machtigingen gebruiken om hun toegang tot AWS bronnen toe te staan of te weigeren.

IAM komt met“geen extra kosten” en we worden alleen aangeslagen voor andere AWS diensten die we gebruiken.

AWS IAM helpt ons om:

  • Gebruikers en hun toegang te beheren:
    We kunnen in IAM gebruikers aanmaken, hen individuele beveiligingsreferenties toekennen. We kunnen machtigingen beheren om te bepalen welke bewerkingen een gebruiker mag uitvoeren en welke niet.
  • Beheer rollen en hun permissies:
    We kunnen rollen aanmaken in IAM en permissies beheren om te regelen welke bewerkingen kunnen worden uitgevoerd door de entiteit, of AWS dienst, die de rol aanneemt.
  • Beheer gefedereerde gebruikers en hun permissies:
    We kunnen identiteitsfederatie inschakelen om bestaande gebruikers, groepen, en rollen in onze onderneming toegang te geven tot de AWS Beheer

Om de IAM dienst meer in detail te begrijpen kun je de officiƫle documentatie van AWS raadplegen.

In dit artikel zullen we zien hoe je een IAM gebruiker, groep, IAM rol maakt, toestemming toekent en aangepast beleid maakt.

Opmerking: IAM hoort niet bij een bepaalde regio en strekt zich uit over het hele AWS Account.

Vereisten

  1. AWS Account (Maak aan als je die niet hebt).

Wat we zullen doen

  1. Log in op AWS.
  2. Maak een IAM Gebruiker aan.
  3. Maak een IAM Groep en voeg er gebruiker aan toe.
  4. Maak een IAM Rol.
  5. Maak een IAM beleid.

Log in op AWS

  1. Klik op hier om naar de AWS login pagina te gaan.

Als we op de bovenstaande link klikken, zien we een webpagina als volgt waar we moeten inloggen met onze inloggegevens.

Inloggen op AWS

Zodra we met succes op AWS inloggen, zien we de hoofdconsole met alle diensten als volgt opgesomd.

AWS Beheerconsole

Maak een IAM gebruiker

Een (IAM) gebruiker is een entiteit die we op AWS aanmaken om de persoon of toepassing te vertegenwoordigen die er gebruik van maakt om met AWS te interageren. Een gebruiker in AWS bestaat uit een naam en geloofsbrieven.

Klik linksboven op “Services” en je ziet een scherm met alle diensten. Spot “IAM” onder “Security, Identity, & Compliance” en klik op “IAM“.

Maak een IAM gebruiker

Je ziet een Dashboard. Dit is de startpagina voor IAM. Klik op “Users” in het linker paneel.

Identiteit en toegangsbeheer

Klik op “Add user” om een nieuwe gebruiker aan te maken.

Gebruiker toevoegen

Geef hier een naam aan de aan te maken gebruiker. We kunnen een gebruiker aanmaken met twee verschillende toegangstypes.

  1. Programmatische toegang:
    We kunnen de bewerking op het AWS account uitvoeren vanuit AWS API, CLI, SDK, en andere ontwikkelingshulpmiddelen met dit toegangstype.
  2. AWS Management Console toegang:
    Dit toegangstype staat een gebruikt toe om in te loggen op de AWS Management Console.

In dit artikel zullen we een gebruiker aanmaken die “AWS Management Console toegang” heeft.

Zodra je op “AWS Management Console toegang” klikt, krijg je een veld om een wachtwoord aan de gebruiker toe te kennen.

We kunnen kiezen uit “Autogenerated password” of “Custom password“. Hier kiezen we ” Aangepastwachtwoord” en kennen een wachtwoord toe aan de gebruiker. Afhankelijk van de behoefte kunnen we een gebruiker dwingen het wachtwoord te veranderen bij zijn volgende login. Hier houden we het zoals het is. Klik op “Next: Permission” om verder te gaan en de permissies toe te kennen.

Gebruikersgegevens instellen

Klik in het volgende scherm op “Attach existing policies directly” en zoek naar “readonlyaccess” en vink het vakje aan zoals in het volgende scherm. Door “ReadOnlyAccess” te geven, zal de gebruiker geen van de AWS bronnen kunnen aanmaken. Je kunt de lijst van toestemmingen doornemen om ze te begrijpen. Klik op “Next: Tag” om verder te gaan.

Stel Machtigingen in

Het toekennen van tags is optioneel, maar helpt om toegang voor deze gebruiker te organiseren, bij te houden, of te controleren. Klik op “Next: Review” om verder te gaan en een gebruiker te maken.

Labels toevoegen

Bekijk de configuratie en klik op “Create user” om een gebruiker aan te maken.

Details gebruiker bekijken

Klik op “Download .csv” dat de “Console login link” bevat. Bij het aanmaken van een gebruiker met “Programmatische toegang” is dit bestand erg belangrijk omdat het “Toegangssleutel ID” en “Geheime toegangssleutel” zou bevatten die nodig zijn om toegang te krijgen. Nu kun je op “Close” klikken want we hebben onze eerste gebruiker gemaakt.

Gebruiker succesvol toegevoegd

Maak een IAM rol

Een IAM rol is een IAM identiteit die we in onze AWS account kunnen aanmaken en die specifieke rechten heeft. Het lijkt op een IAM gebruiker met toestemmingsbeleid dat bepaalt wat de identiteit wel en niet mag doen in AWS. De IAM rol staat AWS diensten toe om acties namens ons uit te voeren.

Op de IAM startpagina klik je in het linker paneel op “Rollen“. Klik op “Create role“.

Maak een IAM rol

In dit artikel maken we een Rol voor Lambda Service. Klik op “Lambda” en klik op “Next: Machtigingen“.

Lamda > Toestemmingen

Zoek in het zoekvak naar “ec2readonlyaccess” en vink het selectievakje aan voor het beleid “AmazonEC2ReadyOnlyAccess“. Dit zal “readonly” toegang geven tot Lambda functie op EC2 Service. Klik op “Next: Tags“.

AmazonEC2ReadyOnlyAccess

Het toevoegen van tags is optioneel, maar kan gebruikt worden om toegang voor deze rol te organiseren, bij te houden, of te controleren. Klik op “Next: Review” om verder te gaan.

Creëer rol

Geef een naam aan de rol, voeg een beschrijving toe en klik op “Create role“. Hiermee maak je een Rol die Lambda functies toestaat namens jou AWS diensten aan te roepen met “ReadOnlyAccess” op “EC2” dienst.

Alleen lezen rol

Maak een IAM groep

Een IAM groep is een verzameling IAM gebruikers. We kunnen met rol rechten voor meerdere gebruikers opgeven, wat het gemakkelijker kan maken de rechten voor die gebruikers te beheren.

Op de IAM startpagina, klik op “Groups” in het linker paneel. Klik op “Create New Group“.

Maak een IAM groep

Geef een naam op en klik op “Next Step”.

Stel Groepsnaam in

Zoek naar “readonlyaccess“, scroll naar beneden en vink het vakje aan. Klik op “Next Step“.

Voeg een beleid toe

Bekijk de configuratie en klik op “Create Group“.

Nu hebben we een groep met “ReadOnlyAccess“, wat betekent dat gebruikers die tot deze groep behoren alleen “Read-Only” toegang hebben op AWS Resources/Services.

Herzieningsinstellingen

Ga terug naar de IAM Homepage en selecteer de groep die we zojuist gemaakt hebben. Klik op “Add Users to Group” om onze gebruiker aan deze groep toe te voegen.

Gebruikers aan groep toevoegen

Selecteer de gebruiker die we in de vorige stap maakten en klik op ” AddUsers“. Dit voegt onze gebruiker toe aan de groep die we aanmaakten met “ReadOnlyAccess“.

Alleen lezen Gebruikers

Maak een IAM beleid

Een IAM beleid is een entiteit die aan een identiteit of bron wordt gekoppeld om hun rechten te bepalen.

Op de IAM startpagina, klik op “Policies” in het linker paneel. Klik op “Create Policy“.

Maak een IAM beleid

Klik op “Service” om een dienst te kiezen waarvoor een beleid moet worden gemaakt. Zoek een dienst in het zoekveld en selecteer de dienst.

Dienst

Je krijgt een lijst van toestemmingen die kunnen worden toegekend, kies hier“List“. Klik op “Review Policy“.

Herzieningsbeleid

Geef een naam aan het beleid en klik op “Create policy“. Dit beleid kan nu aan een gebruiker gekoppeld worden om alleen “Lijst” machtigingen te geven op de EC2 dienst. We kunnen dezelfde stappen volgen die we volgden om een beleid aan te hechten bij het aanmaken van een gebruiker om dit beleid aan te hechten.

Creëer nieuw beleid

Conclusie:

In dit artikel maakten we een gebruiker, een rol en koppelden er een beleid aan, maakten een groep en voegden er een gebruiker aan toe, maakten een aangepast beleid dat aan de gebruiker kan worden toegevoegd.